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(57) Die Erfindung betrifft ein Verfahren zur Sicher- 
stellung der Datenintegritat einer Software fur ein Steu- 
ergerat eines Kraftfahrzeugs, in dem in einem Speicher 
eine das Steuergerat in seiner Wirkungsweise beein- 
flussende Software speicherbar ist. 

Sie ist gekennzeichnet durch die Schritte: Bereit- 
stellen eines Steuergerate-Schlusselpaares (300) mit 
einem ersten (302) und einem zweiten (304) Schlussel, 
Bereitstellen einer bestimmten Anzahl n von Zertifikats- 
Schlusselpaaren (312) mit jeweils einem ersten (314) 
und einem zweiten (316) Schlussel, Hinterlegen des er- 
sten Schlussels (302) des Steuergerate-Schlusselpaa- 
res im oder fur das Steuergerat (306) in dem Kraftfahr- 
zeug, Erstellen von der bestimmten Anzahl n entspre- 
chenden Zertifikaten (318), wobei jedes Zertifikat eine 
Zertifikatsinformation umfafct, in der Zertifikatsinforma- 
tion des tetzten Zertifikates zumindest ein Schlussel zur 
Uberprufung der Software und - falls mehrere Zertifikate 
verwendet werden - in den anderen Zertifikatsinforma- 
tionen zumindest ein Schlussel zur Uberprufung des 
nachfolgenden Zertifikates abgelegt sind, Signieren 
(322) der Zertifikatsinformation des ersten Zertifikates 
mit dem zweiten Schlussel des Steuergerate-Schlussel- 
paares und - fails mehr als 1 Zertifikat vorhanden sind 
- Signieren der ubrigen Zertifikate mit dem jeweils zwei- 
ten Schlussel eines Zertifikat-Schlusselpaares, von 
dem der jeweils erste Schlussel in der Zertifikatsinfor- 
mation des vorhergehenden Zertifikat abgelegt ist, Si- 
gnieren einer neu einzuspielenden Software mit dem 
zweiten Schlussel eines Zertifikats-Schlusselpaares, 
von dem der erste Schlussel in der Zertifikatsinformati- 
on des letzten Zertifikats abgelegt ist, Einspielen alter 
signierten Zertifikate in das Steuergerat, Einspielen der 
signierten Software das Steuergerat, Uberprufen der Si- 
gnatur des ersten Zertifikates mit dem im oder fur das 



Steuergerat hinterlegten ersten Schlussel des Steuer- 
gerate-Schlusselpaares und falls mehr als 1 Zertifikat 
vorhanden sind - Uberprufen der Signatur jeden weite- 
ren Zertifikates mittels dem in der Zertifikatsinformation 
des vorhergehenden Zertifikat enthaltenen ersten 
Schlussels, Akzeptieren der Zertifikatisinformation ei- 
nes jeweiligen Zertifikates, wenn die jeweilige Uberpru- 
fung mit positivem Ergebnis verlauft, und Uberprufen 
der Signatur der Software mit dem in der Zertifikatsin- 
formation des letztem Zertifikat hinterlegten ersten 
Schlussel und Akzeptieren der eingespielten Software, 
wenn auch diese Uberprufung mit positivem Ergebnis 
verlauft. 
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Beschreibung 

(0001] Die Erfindung betrifft ein Verfahren zur Sicherstellung der Datenintegritat einer Software fur ein Steuergerat 
eines Kraftfahrzeugs. 

[0002] Mit dem zunehmenden Anteil der Elektronik und der Kommunikationsmoglichkeiten im und mit einem Fahr- 
zeug wachsen auch die Anforderungen, welche an die Sicherheit gestellt werden mussen. 

[0003] In den verschiedensten Bereichen des Fahrzeugs werden Mikrocontroller zur Steuerung eingesetzt. Diese 
Steuergerate sind heutzutage oft uber ein oder mehrere Bussysteme miteinander verbunden, und es gibt meist Mog- 
lichkeiten (z.B. Diagnoseverbindung), von aufcen auf diesen Bus zuzugreifen und mit den einzelnen Steuergeraten zu 
kommunizieren. 

[0004] Die Funktionsweise der Steuergerate wird durch Softwareprogramme bestimmt. Bisher ist die Software, die 
in einem Steuergerat (auch: Controller) eingesetzt wird, meist in einem nicht programmierbaren Speicher abgelegt (z. 
B. bei maskenprogrammierten Mikrocontrollern). Dadurch ist eine Manipulation der Software nicht ohne weiteres zu 
realisieren. Beispielsweise kann der komplette Austausch eines Speicherbausteins gegen einen anderen Speicher- 
baustein erkannt und entsprechend darauf reagiert werden. 

[0005] Durch den zukunftigen Einsatz von programmierbaren, insbesondere sogenannten flashprogrammierbaren 
Steuergeraten im Fahrzeug wird die Gefahr jedoch groRer, dafc unbefugte Manipulationen an der Software und somit 
an der Arbeitsweise der Steuergerate durchgefuhrt werden. So konnte der Austausch von Software seitens nicht au- 
torisierter Personen einfach durch Neuprogrammierung mit geringem Aufwand vollzogen werden. 
[0006] Aus Sicherheitsgrunden und zur Erfullung von gesetzlichen Anforderungen mussen jedoch MaRnahmen er- 
griffen werden, die entweder eine Veranderung von Originalsoftware verhindern oder eine solche Anderung nur auto- 
risierten Personen zugestehen. 

[0007] Im ubrigen konnte es sich zukunftig als vorteilhaft erweisen, ein Gleichteile-Konzept zu Verfolgen, wobei bei 
unterschiedlichen Modellen gleiche Hardware verwendet wird. Der Unterschied in der Funktionsweise liegt dann nur 
noch in einer unterschiedlichen Software. Bei diesem Konzept besteht freilich die Notwendigkeit, dafi eine bestimmte 
Software nur auf einem individuellen Fahrzeug lauffahig ist und nicht einfach kopierbar sein darf. 
[0008] Aus dem Stand der Technik sind eine Vielzahl von Authentifizierungsverfahren und -vorrichtungen bekannt. 
[0009] So ist in der US 5,844,986 ein Verfahren beschrieben, welches zur Vermeidung eines nicht erlaubten Eingriffs 
in ein BIOS-Systems eines PC verwendet wird. Ein kryptographischer Coprozessor, der einen BlOS-Speicher enthalt, 
fuhrt basierend auf einem sogenanten Public-Key- Verfahren mit einem offentlichen und einem geheimen Schlussel 
eine Authentifizierung und Uberprufung einer BIOS-Anderung durch. Dabei erfolgt die Uberprufung durch eine Prufung 
einer in der einzuspielenden Software eingebetteten digitalen Signatur. 

[0010] Aus der EP 0 816 970 ist eine Vorrichtung zur Uberprufung einer Firm en software bekannt. Diese Vorrichtung 
zur Authentifizierung eines Boot-PROM-Speichers umfa&t einen Speicherteil mit einem Mikro-Code. Ein Authentifizie- 
rungs-Sektor umfafit einen Hash-Generator, der Hash-Daten in Antwort auf die Ausfuhrung des Mikro-Codes erzeugt. 
[001 1] Mit den obigen Verfahren oder Vorrichtungen ist jedoch nicht unmittelbar die Uberprufung einer in ein Steu- 
ergerat eines Kraftfahrzeuges einzuspielenden Software mdglich. 

[0012] In der EP 0 813 132 ist ein Authentifizierungsverfahren beschrieben, bei dem ein Programm mit einem Zer- 
tifikat und einer Zugangsliste gekoppelt ist. Gemali einer bevorzugten Ausfuhrungsform erstellt eine Zertifikat-Agentur 
ein Zertifikat fur einen Code und ein Zertifikat fur die Zugangsliste. Ist das Zertifikat einmal vergeben, ist es nicht mehr 
mdglich, den Code oder die Zugangsliste zu verandern, ohne das Zertifikat zu verletzen. Der Code und die Zugangsliste 
werden zusammen mit ihren Zertifikaten in einem Server gespeichert. Mit diesem Verfahren kann ein Kunde, der den 
Code oder die Zugangsliste anfordert, deren Authentitat feststellen. Eine Anwendung dieses Verfahrens im Kraftfahr- 
zeugbereich ist jedoch nicht ohne weiteres mdglich. 

[0013] Allgemein ware es von Vorteil, auf mehrere Berechtigte zur Erstellung und authentischen Kennzeichnung von 
angeforderter Software zuruckgreifen zu konnen. Damit miiftte die Kennzeichnung nicht von einer zentralen Stelle 
alleine vorgenommen werden. Allerdings sollte weiter eine zentrale Uberwachungsstelle zur Berechtigungsvergabe 
fur ausgewahlte Berechtigte eingerichtet sein. 

[001 4] Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zur Sicherstellung der Datenintegritat einer Software 
fur ein Steuergerat eines Kraftfahrzeugs zur Verfugung zu stellen, wobei mehrere Berechtigte, die von einer zentralen 
Einrichtung kontrollierbar sind, eine authentische Software erstellen und entsprechend kennzeichnen konnen. 
[0015] Die Aufgabe wird durch die Merkmale im Anspruch 1 gelost. 

[001 6] DemgemafS kann eine zentrale Einrichtung, nachfolgend als Trust-Center bezeichnet, an Berechtigte ein oder 
mehrere Zertifikate vergeben, mit dem der oder die damit Ausgestatteten Software fur ein Steuergerat selbst ordnungs- 
gemafc signieren und lauffahig in ein Fahrzeug einspielen konnen. 

[0017] Zu diesem Zweck stellt beispielsweise das Trust-Center (in einer alternativen Ausfuhrungsform das Fahrzeug 
selbst) ein Steuergerate-Schlusselpaar mit einem ersten und einem zweiten Schlussel bereit. Der erste Schlussel wird 
bei der Produktion eines Fahrzeugs in dem Steuergerat selbst abgelegt oder fur das Steuergerat hinterlegt. Aus diesem 
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Grunde wird dieses Schlusselpaar als Steuergerate-Schlusselpaar bezeichnet. Mit dem zweiten Schlussel des Trust- 
Centers wird ein erstes Zertifikat ftir einen Berechtigten, nachfolgend Zertifikatsinhaber, signiert. 
[0018] Zur besseren Klarheit wird zunachst angenommen, daft nur ein Zertifikat zum lauffahigen Einlesen einer 
neuen Software in ein Steuergerat benotigt wird. Dieses eine Zertifikat enthalt in einem Zertifikationsinformationsteil 
neben bestimmten Zertifikatsinformationen zumindest einen ersten Schlussel des Zertifikatsinhabers, der sich selbst 
ein Zertifikats-Schlusselpaar mit einem ersten und einem zweiten Schlussel generiert hat. Als weitere Zertifikations- 
informationen konnen beispielsweise der Zertifikatsaussteller, eine Seriennummer, der Zertifikatsinhaber, bestimmte 
Zug riffs rechte Oder ein Gultigkeitszeitraum festgelegt sein. 

[0019] Der Berechtigte oder Zertifikatsinhaber signiert dann mit seinem zweiten Schlussel des Zertifikats-Schlussel- 
paares die in das Steuergerat einzuspielende Software. Sowohl das Zertifikat wie auch die von dem Zertifikatsinhaber 
signierte Software werden dann in das Steuergerat eines Fahrzeugs eingespielt. Das Steuergerat erkennt mittels sei- 
nes eigenen ersten Schliissels des Steuergerate-Schlusseipaares die Rechtmafiigkeit des Zertifikates und akzeptiert 
die Zertifikatsinformationen, darunter den darin enthaltenen Schlussel. Mit diesem Schlussel, also dem ersten Schlus- 
sel des Zertifikats-Schlusselpaares, wird wiederum die Uberprufung der Signatur der eingespielten Software vorge- 
nommen. 1st auch diese Signatur als einwandfrei erkannt, so wird sie vom Steuergerat akzeptiert. 
[0020] Mit dieser Vorgehensweise kann man Anderungs- und Signierrechte allgemein vergeben. Es muG nicht jede 
Software von dem Inhaber des Steuergerate-Schlusseipaares, beispielsweise dem Trust-Center, selbst signiert wer- 
den. Mit den Zusatzinformationen im Zertifikat ist es daruber hinaus moglich, dem Zertifikatsinhaber eine Fulle von 
Zugestandnissen oder Beschrankungen zuzuweisen. Beispielsweise kann ein Zeitraum zugestanden werden, uber 
den hinweg der Zertifikatsinhaber Software erstellen und einspielen kann. Es konnen verschiedene Berechtigungslevel 
fur die Generierung von Software und die Art der Software vergeben werden. Die Signierung der Software selbst findet 
jedoch immer durch den Zertifikatsinhaber selbst start. 

[0021] Unter Schlussel versteht man allgemein Codier- und/oder Decodierpara meter, die bei an sich bekannten 
kryptographischen Algorithmen verwendet werden. Dabei ist die Verwendung von symmetrischen und asymmetrischen 
Verfahren moglich. Bei symmetrischen Verfahren sind beide Schlussel identisch, so daft eigentlich nur ein Schlussel 
an verschiedenen Orten vorhanden ist. Bei asymmetrischen Verfahren werden verschiedene Schlussel verwendet. 
Allgemein bekannt als asymmetrische Verfahren ist das Public-Key-Verfahren, bei dem ein offentlicher und ein gehei- 
mer (privater) Schlussel erzeugt werden. Der offentlichen Schlussel darf jedermann bekannt sein. Solche kryptogra- 
phischen Algorithmen sind beispielsweise Rivest, Shamir und Adleman (RSA-Algorithmus), Data Encryption Algorith- 
mus (DEA-Algortthmus) und dergleichen Algorithmen, bei denen es sich urn asymmetrische Verfahren handelt. Diese 
Algorithmen konnen sowohl fur das erste als auch fur das zweite Schlusselpaar verwendet werden. 
[0022] In einer komplexeren Ausgestaltung des vorliegenden erfindungsgemafcen Verfahren werden zur Uberpru- 
fung einer in ein Steuergerat eingespielten Software nicht nur ein einziges sondern mehrere Zertifikate n vergeben. 
Damit bestehen noch weitere Gestaltungsmoglichkeiten. Zum einen ist es moglich, verschiedene Zertifikate auf ver- 
schiedene Personen zu verteilen, so dali nur in Gemeinschaft ein lauffahiges Einspielen von neuer Software in ein 
Steuergerat moglich ist. Zudem ist es moglich, verschiedene Zugriffsrechte uber die verschiedene Anzahl von Zertifi- 
katen zu vergeben. 

[0023] Bei der Verwendung von mehreren Zertifikaten, kann die Signatur des ersten Zertifikates mit dem im Steu- 
ergerat hinterlegten Schlussel gepruft werden. Die Signatur eines jeden weiteren Zertifikates kann wiederum von dem 
in einem vorherigen akzeptierten Zertifikat enthaltenen Schlussel uberpruft werden. Mit dem Schlussel im letzten Zer- 
tifikat wiederum wird schlieftlich die Signatur der Software selbst uberpruft. Nur wenn alle Uberprufungen erfolgreich 
verlaufen sind, wird die Software vom Steuergerat akzeptiert. Damit die Signatur eines Zertifikates mit dem in einem 
vorherigen Zertifikat enthaltenen Schlussel uberpruft werden kann, muli es mit dem zweiten dazugehorigen Schlussel 
signiert worden sein. 

[0024] Bei der Wahl, wo die geheimen und die offentlichen Schlussel jeweils abgelegt werden sollen, besteht eine 
grofie Variationsmoglichkeit. Beispielsweise sind in den Zertifikatsinformationen eines Zertifikates jeweils die offentli- 
chen Schlussel abgelegt. Auch im Steuergerat selbst kann der offenttiche Schlussel des Steuergerate-Schlusseipaares 
abgelegt sein. Entsprechend mufi dann die zu uberprufende Signatur mit dem dazugehorigen geheimen Schlussel 
gebildet worden sein. 

[0025] Naturlich sind auch andere Ausfiihrungsformen denkbar, bei denen in der Zertifikatsinformation und/oder im 
Steuergerat selbst der geheime Schlussel hinterlegt sind. Auch Kombinationen mit symmetrischen Schlusseln sind 
durchaus denkbar. 

[0026] Vorzugsweise ist der im Steuergerat hinterlegte Schlussel im Boot-Sektor abgelegt. Dieser ist normalerweise 
in besonderer Weise geschutzt. Zur Erhohung der Sicherheit, kann der Boot-Sektor auch so ausgebildet sein, dali er 
nach dem Beschreiben und dem Ablegen des darin enthaltenen Schlussels "abgesperrt" wird, d.h. fur zukunftige Zu- 
griffe, insbesondere Schreibzugriffe gesperrt wird. 

[0027] Verlaufen alle Prufungen positiv (Zertifikatsprufung und Softwareprufung), so wird die Software vom Steuer- 
gerat oder einer eigens dafur vorgesehenen Einrichtung akzeptiert und kann zur Steuerung des Steuergerates heran- 
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gezogen werden. 

[0028] Wie bereits oben beschrieben darf der offentliche Schlussel bei den sogenannten Public-Key-Verfahren 6f- 

fentlich bekannt sein, wogegen der geheime Schlussel nur einer autorisierten Stelle bekannt ist. 

[0029] Gemafc einer besonderen Ausfuhrungsform ist der geheime Schlussel des Steuergerate-Schlusselpaares 

5 nur dem Trust-Center und der geheime Schlussel eines Zertifikats-Schlusselpaares nur dem Zertiflkatsinhaber be- 
kannt. Mit jedem geheimen Schlussel laftt sich - analog zur handschriftlichen Unterschrift - eine digitale Signatur zu 
einem elektronischen Dokument (Zertifikat, Software) erzeugen. Nur der Besitzer des geheimen Schlussels kann eine 
jeweils gultige Signatur erstellen. Die Echtheit des Dokuments (Zertifikat, Software) kann uber die Verifikation der 
Unterschrift mittels des offentlichen Schlussels uberpruft werden. Ein nicht autorisierter Dritter, der den geheimen 

10 Schlussel nicht kennt, ist nicht in der Lage, eine gultige Signatur zu erstellen. Wird ein manipuliertes, abgelaufenes 
oder nicht berechtigendes Zertifikat in ein Steuergerat geladen Oder eine manipulierte und nicht richtig unterzeichnete 
Software in das Steuergerat geladen, so wird dies mit dem jeweils dazugehorigen Schlussel erkannt und das Steuer- 
gerat wird in einen nichtlauffahigen Zustand versetzt. 

[0030] Bei der Verwendung eines symmetrischen Verfahren kann zur Erhohung der Sicherheitsstufe ein zusatzlicher 

15 Ausloseschutz in Form einer speziellen Hardware herangezogen werden. 

[0031] Urn die Anforderungen eines ausschlielilich fahrzeugindividuellen Einsatzes einer Software zu ermoglichen, 
enthalt die fur ein Steuergerat eines bestimmten Fahrzeugs vorgesehene Software fahrzeugindividualisierende Infor- 
mationen, beispielsweise die Fahrgestellnummer oder andere fahrzeugindividuelle Daten. Diese Informationen sind 
der Software zugeordnet oder in diese integriert. Erst nach der Zuordnung oder Integration dieser Daten zur bzw. in 

20 die Software wird diese dann mit dem zweiten Schlussel des Zertifikatsinhabers des letzten Zertifikates signiert. Ein 
Steuergerat akzeptiert - wie oben beschrieben - nur dann die Software, wenn zum einen das oder die Zertifikate und 
aufierdem die Signatur der Software als einwandfrei erkannt worden sind. Da die Signatur von der in der Software 
enthaltenen fahrzeugindividuellen Information abhangt, kann diese nicht nachtraglich verandert werden. Es kann nur 
eine Software lauffahig fur ein Steuergerat eines Fahrzeugs eingespeist werden, wenn die fahrzeugindividuelle Infor- 

25 mation nicht verandert ist und mit derjenigen des Fahrzeugs tatsachlich iibereinstimmt. Ein Kopieren einer solch indi- 
vidualisierten Software auf ein anderes Fahrzeug ist damit unmoglich. 

[0032] Urn eine weitere Sicherheitsstufe beim Einspielen von Software in den Speichern des Steuergerates zu schaf- 
fen, sollte zudem vordem Einspielen der Software ein Zugang zum Speicherdes Steuergerates nur mit entsprechender 
Berechtigung moglich sein. Dazu ist vor dem Uberspielen der signierten Software ein "Aufschlielien" des Steuergerates 

30 jn einem Anmeldeschritt vorgesehen. Bei der Verwendung unterschiedlicher priorisierter Level bei der Anmeldung 
konnten Ciberdies auch verschieden ausgestaltete Zugriffsrechte vergeben werden. Bei einem Diagnosezugriff ware 
beispielsweise zunachst eine Anmeldung notwendig, wodurch das Steuergerat uber die eingegebene Zugangsinfor- 
mation die Zugriffsrechte und die damit verbundene Berechtigungsstufe erkennt. Je nach Rechtevergabe konnen die 
Zugriffsberechtigungen von unkritisch bis sehr kritisch eingestuft werden. Die Rechtevergabe kann statisch gestaltet 

35 sein, so dafi beispielsweise verschiedene Zugangscodes fur bestimmte Berechtigungsstufen ausgegeben werden. 
Alternativ kann die Rechtevergabe auch dynamisch gestaltet werden, so dafc beispielsweise Zutrittszertifikate verge- 
ben werden, in deren Zertifikatsinformation die Berechtigungsstufe enthalten ist. 

[0033] Gemali einer Alternative werden die Uberprufungen der Signaturen im Steuergerat selbst durchgefuhrt. Ge- 
mali einer weiteren Alternative kann zumindest eine Uberprufung auch in einer eigenen Zutritts- bzw. Zugriffssteuerung 
40 uberpruft werden. Ein evti. ausschlielilich fur die Zugriffssteuerung vorgesehenes Steuergerat sollte im Vergleich zu 
den ubrigen Steuergeraten wegen derzentralen Sicherheitsfunktion hinsichtlich der Vergabe von Zugriffsrechten nicht 
zuganglich im Kraftfahrzeug angeordnet sein, da durch den physikalischen Ausbau eines Steuergerates die oben 
beschriebenen Schutzmechanismen evtl. umgangen werden konnten. 

[0034] Urn ferner auch die Gefahr auszuschliefcen, dafi ein Steuergerat ganz ausgebaut und gegen ein anderes 
45 ersetzt wird, kann zusatzlich ein Steuergerateausbauschutz sinnvoll sein. Zu diesem Zweck wird beispielsweise in 
einem Fahrzeug, in dem die Steuergerate integriert sind, sporadisch eine Steuergerate-Authentitatsprufung durchge- 
fuhrt. Dazu wird ab und zu eine Anfrage an jedes Steuergerat gerichtet, die diese mit einer bestimmten erwarteten 
Information beantworten miissen. Stimmt die tatsachlich von einem zu uberprufenden Steuergerat abgegebene Infor- 
mation nicht mit der erwarteten Information uberein oder antwortet das Steuergerat nicht, so werden geeignete Siche- 
50 rungsmafcnahmen ergriffen. Beispielsweise wird das Steuergerat aus dem Kommunikationsverbund ausgeschlossen 
oder das Steuergerat wird registriert, markiert oder in eine Liste aufgenommen. Bei einer Diagnose des Fahrzeugs 
kann die Manipulation dann erkannt werden. Bei der oben beschriebenen Ausfuhrungsform antworten die Steuergerate 
auf Anfrage beispielsweise mittels eines geheimen, steuergeratespezifischen Authentifikationsschlussel. Ein illegal 
ausgetauschtes Steuergerat verfugt uber einen solchen Schlussel nicht und wird damit auch nicht akzeptiert. 
55 [0035] Die vorliegende Erfindung wird nachfolgend anhand von Ausfuhrungsbeispielen und mit Bezug auf die bei- 
liegenden Zeichnungen naher erlautert. Die Zeichnungen zeigen in 

Figur 1 eine schematische Darstellung einer Steuergeratestruktur in einem Fahrzeug, 
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Figur 2 ein Ablaufdiagramm fur ein Einlesen von Software in ein Steuergerat und 

Figur 3 eine schematische Darstellung fur den Ablauf zur Vergabe einzelner Signaturen damit eine 

Software einwandfrei ein Steuergerat steuern kann, 

5 

Figur 4 eine schematische Darstellung fiir die Vergabe eines Zertifikates durch ein Trust-Center, 

Figur 5 eine schematische Darstellung fiir die Erstellung einer digitalen Signatur fiir eine Software, 

10 Figur 6 eine schematische Darstellung des Ablaufes der Uberprufungen in einem Steuergerat zur Ve- 

rifikation von eingespielter Software, 

Figuren 7a bis 7d Darstellungen zur Verschlusselung und Verifikation von Zertifikat und Software unter Verwen- 
dung eines Hash-Codes und 

15 

Figur 8 eine Darstellung eines Algorithmus fiir eine Uberprufung von fahrzeugindividuellen Informa- 

tionen. 

[0036] In Figur 1 ist blockdiagrammartig eine Steuergeratestruktur mit miteinander vernetzten Elnheiten abgebildet. 

20 Das Boardnetz besteht hierbei aus mehreren Teilnetzen (LWL-Most, K-CAN System, Powertrain-CAN etc.), die zum 
Teil unterschiedliche Ubertragungsgeschwindigkeiten besitzen und durch sogenannte Gateways (Zentrales Gateway 
Modul, Controller Gateway) miteinander verbunden sind. Mittels des Zentralen Gateways 14 ist ein Diagnosebus 16 
mit alien ubrigen Netzen mittelbar Oder unmittelbar gekoppelt. Der Diagnosebus 16 stellt eine der wichtigsten Verbin- 
dungen zur Umwelt dar. Ober einen Diagnosetester, der an einer OBD-Steckdose (OBD = on board diagnose) am 

25 Ende des Diagnosebuses 16 angeschlossen ist, und unter Zwischenschaltung des zentralen Gateways 14 konnen 
samtliche Controller, Gateway und Steuergerate im gesamten System angesprochen werden. 

[0037] Alternativ besteht die Moglichkeit, uber das GSM-Netz 20 und ein Telefonsystem 18 im Fahrzeug auf die 
Gerate im Fahrzeug zuzugreifen. Damit ist prizipiell ein Remotezugriff auf das Fahrzeug-Boardnetz moglich. Das Te- 
lefonsystem 18 stellt hierbei ebenfalls ein Gateway zwischen dem Mobilfunknetz (GSM-Netz) und den ubrigen Fahr- 
30 zeugbusteilnehmern dar. 

[0038] Im Fahrzeugbus integriert ist ein Car-Access-System (CAS) 22, das den Zutritt zum Fahrzeug uberwacht. Es 
beinhaltet als weitere Funktion eine elektronische Wegfahrsperre. 

[0039] Ein Mulitmedia-Changer (MMC) stellt eine Schnittstelle zwischen einem CD-Player und dem Bordnetz dar. 
Beim Controller Gateway 21 werden Eingaben, die der Fahrer uber die verschiedenen Instrumente macht, in Nach- 

35 richten umgesetzt und an die jeweils angesprochenen Steuergerate weitergeleitet. 

[0040] Daneben sind mehrere Steuergerate (STG1 bis STG5) dargestellt. Die Aufgabe eines Steuergerates besteht 
nicht nur in der Steuerung einer bestimmten Einheit im Fahrzeug, sondern auch in der Kommunikation zwischen den 
Geraten selbst. Die Kommunikation im Fahrzeug ist vorliegend "Broadcast orientiert". Ein Erzeugervon Informationen, 
der den Buszugriff gewonnen hat, sendet seine Informationen grundsatzlich an alle Steuergerate. Der Datenbus, der 

40 mit dem Controller verbunden ist, wird dazu permanent abgehort. Bei einer Kommunikation mit der Umwelt hingegen, 
beispielsweise uber den Diagnosebus, wird jedes Steuergerat mit einer eindeutigen Adresse gezielt angesprochen. 
[0041] Die Software, die die Funktionalitat der Steuereinheit bestimmt, ist in Zukunft uberwiegend in einem program- 
mierbaren Flash-Speicher untergebracht. Bei einer Flashprogrammierung konnen nurganze Blocke geloscht und neu 
beschrieben werden. Das Loschen einzelner Bites ist nicht moglich. Je nach Steuergeraten werden unterschiedliche 

45 Arten von Mikrocomputern eingesetzt. Je nach Anforderungen sind dies 8-Bit, 16-Bit Oder 32-Bit-Prozessoren. Alie 
diese Steuergerate Oder Controller sind in unterschiedlichen Varianten verfugbar. Sie weisen beispielsweise einen 
Flash-Speicher auf dem Board oder direkt im Prozessor selbst integriert auf. 

[0042] Nachfolgend soli naher auf die vorliegend verwendete Verschlusselung eingegangen werden. Bei dem ver- 
wendeten Authentifizierungsverfahren wird eine asynchrone Verschlusselung bevorzugt. Bei symmetrischen Schlus- 
50 seln muli jede Seite im Besitz des Geheimnisses sein. Sobald ein synchroner Schlussel bekannt ist, kann eine wirk- 
same Verschlusselung nicht mehr sichergestellt werden. Da ein Schlussel des Schlusselpaares jedoch im Steuergerat 
eines Kraftfahrzeugs abgespeichert sein mufi und somit dessen Geheimhaltung nicht sichergestellt werden kann, ist 
die Wahl eines symmetrischen Schlusselpaares nicht ratsam. 

[0043] Im Gegensatz zu der symmetrischen Verschlusselung entwickelten W. Diffie und M. Hellman 1976 die soge- 
55 nannte Public-Key-Kryptografie. Bei dieser Verschliisselungsart wird ein Schlusselpaar mit einem offentlichen und 
einem geheimen Schlussel erzeugt. Mit dem offentlichen Schlussel kann jeder entschlusseln, es kann aber nicht ver- 
schlusselt werden. Zum Verschlusseln (signieren) hingegen wird der geheime Schlussel benotigt. 
[0044] Das Public-Key-Verfahren hat den Vorteil, dafc ein Schlussel des Schlusselpaares offentlich bekannt sein 
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darf. Da die heute bekannten Public-Key- Verfahren aber sehr rechenintensiv sind, verwendet man haufig Hybrid-Ver- 
fahren, also eine Kombination aus symmetrischen und asymmetrischen Verfahren. Bei dem Hybrid-Verfahren wird ein 
symmetrischer Schlussel mittels eines Public-Key-Verfahrens zwischen den Kommunikationspartnern ausgetauscht. 
Die eigentliche Kommunikation wird dann mit dem symmetrischen Schlussel verschlusselt. 

[0045] Durch die Trennung von geheimen Schlussel und offentlichen Schlussel lassen sich Authentifizierungsver- 
fahren und digitale Signaturen wie oben beschrieben realisieren. Durch den Besitz des geheimen Schlussels lafit sich 
eine Identitat eindeutig nachweisen, und es kann eine Signatur, wie bei einer handschriftlichen Unterschrift erstellt 
werden. Bekannte Public-Key-Kryptosysteme sind das RSA-Verfahren. Andere Public-Key-Krypto-Verfahren beruhen 
auf Problemen in bestimmten mathematischen Gruppen, Logarithmen zu berechnen (Diskreter-Logarithmus-Problem). 
[0046] Die vorliegende Erfindung wird im folgenden anhand eines bestimmten Ausfuhrungsbeispiels beschrieben, 
bei dem ein Kunde eine bestimmte zusatzliche Funktion in seinem Kraftfahrzeug wunscht. Beispielsweise soil das 
Getriebe mit anderen Schaltkennlinlen betrieben werden. Diese Funktion kann durch die Einspielung neuer Software 
in ein Steuergerat seines Fahrzeugs realisiert werden. Zur Realisierung wendet sich der Kunde an eine autorisierte 
Stelle, beispielsweise einen Handler, die eine solche Software erstellen und ablauffahig in sein Fahrzeug einspielen 
kann. 

[0047] Die dafur notwendigen Ablaufe werden im folgenden erlautert. 

[0048] Um nicht alle bestellten Softwareumfange von einer einzigen Stelle abzeichhen (signieren) lassen zu mussen, 

werden zunachst mehrere dezentrale Berechtigte - sogenannte Zertifikatsinhaber - (z.B. Handler) aufgebaut, bei denen 

eine gewunschte Software bestellt werden kann. Durch die Vergabe von Zertifikaten werden die Berechtigten in die 

Lage versetzt, die bestellte Software selbst zu erzeugen und auch zu unterzeichnen (signieren). 

[0049] Der Ablauf wird zunachst mit Bezug zur Fig. 3 naher erlautert. In einem Trust-Center (404 in Fig. 4) wird ein 

erstes Schlusselpaar 300 mit einem privaten Schlussel 304 und einem offentlichen Schlussel 302 erzeugt. 

[0050] Ein Schlussel ist dabei ein elektronischer Code, mit dem eine Information verund/oder entschlusselt werden 

kann. Man verwendet dabei bekannte kryptographische Algorithmen, wie die bereits oben beschriebenen RSA oder 

DEA Algorithmen, also sogenannte "public-key-Algorithmen" mit asynchronen Schlusselpaaren. 

[0051] Der offentliche Schlussel 302 des Trust-Centers wird bereits bei der Produktion eines Fahrzeugs in einem 

Steuergerat 306 im Bootsektor 308 abgelegt. 

[0052] Mit dem privaten Schlussel 304 jedoch wird nunmehr ein Zertifikat 318 unterzeichnet (signiert), welches be- 
stimmte Zertifikatinformationen enthalt. 

[0053] Der Zertifikatinhaber erstellt ebenfalls ein Schlusselpaar 312 (zweites Schlusselpaar) mit einem weiteren 
privaten 314 und einem weiteren offentlichen 316 Schlussel. Der offentliche Schlussel 316 wird als eine Zertifikatsin- 
formation im Zertifikat 318 abgelegt. Weitere Zertifikatsinformationen konnen beispielsweise der Zertifikatsaussteller, 
die Seriennummer, der Zertifikatsinhaber, bestimmte Zugriffsrechte oder der Gultigkeitszeitraum sein. 
[0054] Mit dem privaten Schlussel 314 des Zertifikatsinhabers, der nur diesem bekannt ist, wird eine Software 320 
in nachfolgend noch zu besch re i bender Weise signiert (Signatur 322). Der Zertifikatsinhaber spielt sodann das standig 
bei ihm vorhandene Zertifikat 318 wie auch die erstellte und signierte Software 320 in das Steuergerat 306 ein. 
[0055] Die weitere Vorgehensweise wird nun anhand von Fig. 6 erlautert. Das Steuergerat 600 (Bezugszeichen 306 
in Fig. 3) pruft bei seinem ersten Hochlauf nach der Einspielung zunachst, ob das Zertifikat 618 einwandfrei ist. Dazu 
wird mittels dem im Bootsektor 603 des Steuergerates 600 hinterlegten offentlichen Schlussels 602 des Trust-Centers 
die Signatur 2 619 des Zertifikates 618 gepriift. Wird das Zertifikat 618 fur o.k. befunden (Ja), ist die darin gespeicherte 
Zertifikatsinformation 617 zusammen mit dem offentlichen Schlussel 616 ebenfalls akzeptiert. Ist das Zertifikat bzw. 
dessen Unterschrift 619 nicht einwandfrei verifiziert (Nein), wird der Betrieb des Steuergerates gestoppt (Stop). 
[0056] Mit dem im Zertifikat 618 enthaltenen offentlichen Schlussel 616 wiederum wird die Signatur 1 608 der Soft- 
ware 606 uberpruft. Wird diese Prufung ebenfalls bestanden (Ja), kann das Steuergerat mit der neu eingespielten 
Software 610 betrieben werden (o.k.). Andernfalls (Nein) wird der Betrieb des Steuergerates 600 gestoppt (Stop). 
[0057] Insgesamt kann mit der beschriebenen Vorgehensweise eine Dezentralisierung von berechtigten Stellen, 
welche zur Unterzeichnung von Software befugt sind, erreicht werden. Dabei stehen verschiedenste Moglichkeiten 
offen, im Zertifikat weitere Berechtigungen und Beschrankungen zu verpacken. Ist im Zertifikat ein Gultigkeitszeitraum 
enthalten, so kann ein vormaliger Zertifikatsinhaber nach dem Ablauf des Gultigkeitszeitraum keine Software mehr 
signieren bzw. diese Software wird nicht mehr akzeptiert, weil das Zertifikat nicht mehr akzeptiert wird. Zudem kann 
uber den Inhaber des Zertifikates auch nachvollzogen werden, wer in einem Steuergerat eine Software eingelesen 
und somit eine Modifikation vorgenommen hat. 

[0058] In Fig. 2 ist eine weitere Sicherungsstufe dargestellt. Soil eine neue Software in ein Steuergerat eines Fahr- 
zeugs eingespielt werden, so mufi man sich zunachst anmelden (Schritt 200 in Fig. 2). Bei der Anmeldung erfolgt eine 
Identifizierung des Berechtigten. Erst bei erfolgreicher Identifizierung wird das Steuergerat "aufgesperrt" wodurch prin- 
zipiell ein Einlesen von neuer Software und des Zertifikates in das Steuergerat moglich ist (Schritt 202 in Fig. 2). Erst 
nach dem Einlesen erfogt dann die oben beschriebene Verifikation des Zertifikates und der Software. 
[0059] Im folgenden wird die Erstellung des Zertifikates naher beleuchtet. Zunachst muli zwischen dem Trust-Center 
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und einem Dritten Einigkeit bestehen, daft dieser Dritte als Zertifikatinhaber eine gewisse Berechtigungsstufe zuge- 
sprochen bekommt, geanderte Software in ein Steuergerat oder fur ein Steuergerat eines Fahr2eugs einzulesen. 1st 
eine Einigung erzielt, generiert derzukunftige Zertifikatsinhaber (z.B. eine Werkstatt 400) sein eigenes Schlusselpaar 
mit einem privaten und einem offentlichen Schliissel und sendet den offentlichen Schliissel mit einer Zertifikatsanfor- 
5 derung (Schritt 402 in Fig. 4) an das Trust-Center 404. 

[0060] Das Trust-Center 404 erstellt das Zertifikat 406, signiert es mit dem geheimen Schliissel (vgl. auch Bezugs- 
zeichen 304 in Fig. 3) und sendet es an den Zertifikatsinhaber 400 zuruck, wo es verbleibt. 

[0061] Der Zertifikatsinhaber 400 kann ab Erhalt des Zertifikates und soweit ihm dies das Zertifikat 406 erlaubt Soft- 
ware 408 (auch Bezugszeichen 320 in Fig. 3) mit seinem privatem Schliissel signieren. Dies ist in Fig. 5 naher darge- 

io stellt. Dort wird eine Software 500 in einer Einheit 540 mit dem geheimen Schliissel 520 signiert. Die signierte Software 
560 ist dann zum Einspielen in das Steuergerat eines Fahrzeuges bereit. Mit Bezug auf Fig. 4 ist dies auch dargestellt. 
Dort wird die signierte Software 408 sowie das Zertifikat 406 von dem Zertifikatsinhaber in ein Fahrzeug 1 2 eingespielt. 
[0062] Mit Bezug auf die Fig. 7a bis 7b wird das signieren der Software und des Zertifikates sowie die Gberprufung 
der jeweiligen Signatur naher erlautert. 

15 [0063] Es ist ineffizient ein gesamtes elektronischen Dokument in seiner Gesamtheit zu signieren. Vielmehr wird 
dazu vorliegend eine sogenannten Hash-Funktion verwendet. 

[0064] Genauer gesagt wird aus der Software 750 uber eine an sich bekannte Hash-Funktion ein sogenannter Hash- 
Code 751 generiert, bei dem es sich um eine digitate Information mit vorgegebener Lange handelt. Dieser Hash-Code 
751 wird dann mit dem geheimen Schliissel des Zertifikatsinhabers signiert (Signatur 1 752). Die Signierung des Hash- 
20 Codes 751 ist wesentlich effizienter als die Signatur von langen Software-Dokumenten. Die bekannten Hash-Funktio- 
nen haben dabei folgende wesentliche Eigenschaften: Es ist im allgemeinen schwer, zu gegebenem Hash-Wert h 
einen Wert M eines Dokuments zu finden (Einwegfunktion). Zudem ist es schwer, eine Kollision, d.h. zwei Werte mit 
M und M\ bei denen die Hash-Werte gleich sind, zu finden (Kollisionsresistenz). 

[0065] Die angeforderte Software 753 kann - wie oben bereits erwahnt - vom Zertifikatsinhaber selbst erstellt und 
25 signiert werden. 

[0066] In analoger Weise zur Software wird ein Zertifikat erstellt (Fig. 7b). Aus der gesamten Zertifikatsinformation 
760 inklusive dem offentlichen Schliissel des Zertifikatsinhabers wird uber eine gleiche oder eine andere Hash-Funktion 
ein weiterer Hash-Code 761 generiert, bei dem es sich um eine digitale Information mit einer anderen vorgegebenen 
Lange handelt. Dieser andere Hash-Code 761 wird dann mit dem geheimen Schliissel des Trust-Centers signiert 
30 (Signatur 2 762). 

[0067] Nach dem Einspielen der neuen Software sowie des Zertifikates in ein Steuergerat wird dann beim nachsten 
Betrieb zunachst mittels des offentlichen, im Steuergerat gespeicherten Schlussels uberpruft, ob die Signatur des 
Zertifikates einwandfrei ist (Fig. 7c). Dazu wird der offentliche Schliissel aus dem Steuergerat auf die Signatur 2 an- 
gewendet, was einen berechneten Hash-Code (Bezugszeichen 765) ergibt. Dieser berechnete Hash-Code 765 wird 

35 jn einem Komparator 764 mit dem aus dem Zertifikat selbst nach der oben genannten Hash-Funktion gebiideten Hash- 
Code 761' verglichen. Vorliegend stimmen beiden Hash-Codes 765 und 76V nicht miteinander uberein. Das Zertifikat 
ist vorliegend unberechtigterweise verandert worden. Dadurch wird der Betrieb des Steuergerates unterbunden (Stop). 
[0068] Ware das Zertifikat als einwandfrei verifiziert worden, so wird im nachsten Schritt (Fig. 7d) uberpruft, ob die 
Software ordnungsgemafi unterzeichnet ist. Dazu wird analog auf die Signatur 1 der Software der offentliche Schliissel 

to aus dem Zertifikat angewendet, wodurch ein Hash-Code 756 bestimmt wird. Dieser Hash-Code 756 wird mit dem direkt 
aus der Software bestimmten Hash-Code 751* in einem Komparator 754 verglichen. Vorliegend ist keine Ubereinstim- 
mung gegeben, so dali wiederum der Betrieb des Steuergerates unterbunden werden wurde. Wurden die beiden Hash- 
Codes 756 und 751' jedoch ubereinstimmen, so wurde das Steuergerat mit der neuen Software betrieben werden 
konnen. Um eine Uberprufung bei jedem Hochlaufen zu verhindern, kann nach der ersten Verifikation auch ein Prufbit 

45 gesetzt werden, welches eine einwandfreie Verifikation anzeigt. Naturlich darf ein solches Prufbit nicht von aufien 
modifizierbar sein. 

[0069] Neben der oben beschriebenen digitalen Signatur wird zur Authentifikation eines Kommunikationspartners A 
gegeniiber einem Kommunikationspartners B haufig ein sogenanntes Challenge-Response-Verfahren verwendet. Da- 
bei sendet B zunachst eine Zufallszahl RANDOM an A. A signiert diese Zufallszahl mittels seines geheimen Schlussels 
50 und sendet diesen Wert als Antwort an B. B verifiziert die Antwort mittels seines offentlichen Schlussels und priift die 
Authentifizierung von A. 

[0070] Nachfolgend wird anhand von Fig. 8 die Sicherstellung einer Individualisierung der Software fur ein bestimm- 
tes Fahrzeug beschrieben, wobei auf ein oben erwahntes Challenge-Response Verfahren Bezug genommen wird. 
[0071] Das oben beschriebene Verfahren der Signatur einer Software wird insofern erweitert, als die Steuergerate- 
55 Software noch fur ein bestimmtes Fahrzeug individualisiert gekennzeichnet wird. Jede Software wird mit einem Iden- 
tifikationsmerkmal eines bestimmten Fahrzeugs oder Fahrzeugtyps verbunden. Das Identifikationsmerkmal kann bei- 
spielsweise die Fahrgestellnummer sein. 

[0072] Nachfolgend wird beschrieben warum die so gekennzeichnete Software dann nur noch in dieses Fahrzeug 
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bzw. diesen Fahrzeugtyp in funktionsfahiger Weise eingespieit werden kann. 

[0073] Zur Individualisierung der Software wird zunachst die Fahrgestellnummer FGNsw in die Software 800 einge- 
tragen und anschlieftend wird die gesamte Software - zusammen mit einem privaten Schlussel IFSp 804 - wie oben 
beschrieben nach Erstellung des Hash-Codes signiert (Bezugszeichen 802). Das Steuergerat 806 akzeptiert wie be- 
5 reits beschrieben nur eine korrekt signierte Software. Da die Fahrgestellnummer FGNsw den Hash-Code und die 
Signatur beeinfluftt ist es nicht moglich, die Fahrgestellnummer nachtraglich zu verandern. 

[0074] Ist die Signatur 802 prinzipiell akzeptiert, wird uberpruft, ob das der Software 800 zugeorndete Fahrzeugi- 
dentifikationsmerkmal FGNsw mit dem tatsachlich im Fahrzeug vorliegenden Merkmal FGN ubereinstimmt. Ist dies 
der Fall, wird die Software freigeschaltet. Damit kann die wie oben praparierte Software nur in einem bestimmten 
10 Zielfahrzeug verwendet werden. Fur ein anderes Fahrzeug mufi wiederum eine andere mit einer individuellen Signatur 
versehene Software beschafft werden. 

[0075] Um eine solche Individualisierung einer Software durchfuhren zu konnen, sollte die Fahrgestellnummer be- 
reits in der Fertigung in die entsprechenden Steuergerate in nicht manipulierbarer Weise eingetragen werden. Die 
Fahrgestellnummer FGN mufi auch nach einem Loschen eines Speichers in dem Steuergerat noch vorhanden sein. 
is Dies kann dadurch realisiert werden, daft die Fahrgestellnummer beispielsweise in das oben bereits erwahnte Car- 
Access-System (CAS) 810 in einem nicht fluchtigen Speicher eingetragen ist. 

[0076] Folgende Vorgehensweise gemafi Fig. 8 sichert dabei eine nicht manipulierbare Abfrage. Zusatzlich zur Fahr- 
gestellnummer benotigt man ein weiteres fahrzeugindividuelies Schlusselpaar bestehend aus einem geheimen Schlus- 
sel IFSs und dem dem oben bereits erwahnten offentlichen Schlussel IFSp. Die Zuordnung der Fahrgestellnummer 
20 und der beiden Schlussel erfolgt an zentraler Stelle. Der geheime Schlussel IFSs ist in der Steuergerateeinheit Car- 
Access-System (CAS) 810 gespeichert und zwar in nicht auslesbarer Form. 

[0077] Die Fahrgestellnummer FGN befindet sich bereits im Zugriffsbereich des Car-Access-Systems. 

[0078] In der neu einzuspielenden Software ist zusatzlich zur Fahrgestellnummer noch der offentliche Schlussel 

IFSp hinterlegt (804). Danach wird die gesamte Software 800 durch Signatur gesichert. Nach dem Laden der Software 

25 in das Steuergerat 806 wird zunachst die Korrektheit der Signatur gepriift. Danach verifiziert das Steuergerat 806 
mittels einer vorher beschriebenen Challenge-Response-Abfrage, ob die Fahrgestellnummer in der Software mit der 
derjenigen des Fahrzeugs ubereinstimmt. Dazu sendet das Steuergerat die Fahrgestellnummer aus der Software 
FGNsw und eine Zufallszahl RANDOM an das Car-Access-System 810 (Bezugszeichen 808). Dort wird die im Fahr- 
zeug gespeicherte Fahrgestellnummer FGN mit der empfangenen Fahrgestellnummer FGNsw verglichen. Anschlie- 

30 fiend werden die beiden Werte mit dem geheimen Schlussel IFSs signiert und wieder an das Steuergerat 806 zuruck 
gesendet. Das Steuergerat 806 kann nun mit dem offentlichen Schlussel IFSp die signierte Sendung uberprufen. Da- 
nach wird verglichen (Schritt 814), ob die verschiedenen zueinander gehorenden Werte ubereinstimmen. Ist dies der 
Fall (OK), so kann das Steuergerat 806 mit der fahrzeugindividuellen Software betrieben werden. Verlauft der Vergleich 
negativ, so wird der Betrieb des Steuergerates gestoppt (Schritt 816). 

35 [0079] Als Variante dieses Verfahren kann anstelle eines individuellen Schlusselpaares IFSs und IFSp auch ein 
entsprechendes nicht fur ein Fahrzeug individualisiertes Schlusselpaar, das bereits im Fahrzeug gespeichert ist, ver- 
wendet werden. Dadurch entfallt die Verwaltung fur diesen Schlussel. Ebenso ist natiirlich ein entsprechender Mecha- 
nismus mit einem symmetrischen kryptografischen Verfahren moglich. Dies hat zwar Vorteile bei der Abarbeitung, 
bringt aber die Gefahr des Auslesens des symmetrischen Schlusseis aus den Steuergeraten mit sich. 

40 [0080] Naturlich ist bei alien oben genannten Verfahren absolut sicherzustellen, dafi die geheimen Schlussel des 
Trust-Centers auch geheim bleiben. Insgesamt bietet die vorgenannte Kryptografie eine gute Moglichkeit, nur ord- 
nungsgemafie Software in Fahrzeuge bzw. in bestimmte Fahrzeuge einzuspielen und somit unbefugten Manipulatio- 
nen vorzubeugen. 



Patentanspruche 

1. Verfahren zur Sicherstellung der Datenintegritat einer Software fur ein Steuergerat eines Kraftfahrzeugs, in dem 
in einem Speicher eine das Steuergerat in seiner Wirkungsweise beeinflussende Software speicherbar ist, ge- 
50 kennzeichnet durch die Schritte: 

Bereitstellen eines Steuergerate-Schlusselpaares mit einem ersten und einem zweiten Schlussel, 
Bereitstellen einer bestimmten Anzahl n von Zertifikats-Schlusselpaaren mit jeweils einem ersten und einem 
zweiten Schlussel, 

55 Hinterlegen des ersten Schlusseis des Steuergerate-Schlusselpaares im oder fur das Steuergerat in dem 

Kraftfahrzeug, 

Erstellen von der bestimmten Anzahl n entsprechenden Zertifikaten, wobei jedes Zertifikat eine Zertifikats in- 
formation umfafit, in der Zertifikatsinformation des letzten Zertifikates zumindest ein Schlussel zur Uberpriifung 
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der Software und - falls mehrere Zertifikate verwendet werden - in den anderen Zertifikatsinformationen zu- 
mlndest ein Schlussel zur Uberprufung des nachfolgenden Zertifikates abgelegt sind, 
Signieren der Zertlfikatsinformation des ersten Zertifikates mit dem zweiten Schlussel des Steuergerate- 
Schlusselpaares und - falls mehr als 1 Zertifikat vorhanden sind - Signieren der ubrigen Zertifikate mit dem 
jeweils zweiten Schlussel eines Zertifikat-Schlusselpaares, von dem der jeweils erste Schlussel in der Zerti- 
fikatsinformation des vorhergehenden Zertifikat abgelegt ist, 

Signieren einer neu einzuspielenden Software mit dem zweiten Schlussel eines Zertifikats-Schliisselpaares, 
von dem der erste Schlussel in der Zertifikatsinformation des letzten Zertifikats abgelegt ist, 
Einspielen aller signierten Zertifikate in das Steuergerat, 
Einspielen der signierten Software das Steuergerat, 

Uberprufen der Signatur des ersten Zertifikates mit dem im Oder fur das Steuergerat hinterlegten ersten Schlus- 
sel des Steuergerate-Schlusselpaares und falls mehr als 1 Zertifikat vorhanden sind - Uberprufen der Signatur 
jeden weiteren Zertifikates mittels dem in der Zertifikatsinformation des vorhergehenden Zertifikat enthaltenen 
ersten Schlussels, 

Akzeptieren der Zertifikatisinformation eines jeweiligen Zertifikates, wenn die jeweilige Uberprufung mit posi- 
tivem Ergebnis verlauft, und 

Uberprufen der Signatur der Software mit dem in der Zertifikatsinformation des letztem Zertifikat hinterlegten 
ersten Schlussel und 

Akzeptieren der eingespielten Software, wenn auch diese Uberprufung mit positivem Ergebnis verlauft. 

Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet, 

dafi in einem Zertifikat als die zumindest eine Zertifikatsinformation ein offentlicher Schlussel enthalten ist und 
dafi die damit zu uberpriifende Signatur mit einem zugehorigen geheimen Schlussel durchgefuhrt ist. 

Verfahren nach Anspruch 1 Oder 2, 
dadurch gekennzeichnet, 

dafi der erste Schlussel des Steuergerate-Schlusselpaares, der in dem Oder fur das Steuergerat hinterlegt ist, ein 
offentlicher Schlussel ist und die Signatur des ersten Zertifikates mit dem zugehorigen geheimen Schlussel durch- 
gefuhrt ist. 

Verfahren nach Anspruch 1 Oder 2, 
dadurch gekennzeichnet, 

dafi das Fahrzeug, insbesondere ein Steuergerat im Fahrzeug, ein asynchrones Schlusselpaar mit einem offent- 
lichen und einem geheimen Schlussel erzeugt, dafi der geheime Schlussel im Fahrzeug, insbesondere in einem 
Steuergerat, hinterlegt wird, und dafi der offentliche Schlussel zur Signieren des ersten Zertifikates aus dem Fahr- 
zeug auslesbar ist. 

Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dali der im Steuergerat hinterlegte Schlussel im Boot-Sektor des Steuergerates abgelegt wird. 

Verfahren nach Anspruch 5, 
dadurch gekennzeichnet, 

dafi der Boot-Sektor nach dem Beschreiben und der Eingabe des Schlussel abgesperrt wird, und so gegen einen 
weiteren Zugriff, insbesondere einen Schreibzugriff, geschutzt ist. 

Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 

dafi die Software und/oder die Zertifikatsinformation jeweils auf eine Information mit bestimmter Lange abgebildet 
werden und diese Informationen dann signiert werden. 

Verfahren nach Anspruch 7, 
dadurch gekennzeichnet, 

dafi als Abbildungsfunktion eine Hash-Funktion gewahlt wird. 

Verfahren nach einem der vorhergehenden Anspriiche, 
dadurch gekennzeichnet, 
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dafi der Software zumindest eine fahrzeugindividuelle Information eines das Steuergerat enthaltenden Fahrzeugs 
hinzugefugt wird, dafi mit der Software die zumindest eine fahrzeugindividuelle Information signiert wird, dafi neben 
dem Uberprufen der Signaturen der Zertifikate und der Software auch die fahrzeugindividuelle Information uber- 
pruft wird und dafi die Software nur dann im Steuergerat akzeptiert wird, wenn auch die fahrzeugindividuelle In- 
formation der Software mit derjenigen des Fahrzeugs ubereinstimmt. 

10. Verfahren nach Anspruch 9, 
dadurch gekennzeichnet, 

dafi zur Uberprufung der fahrzeugindividuellen Information ein eigenes individuelles Schtusselpaar erzeugt wird, 
wobei in einer Fahrzeugsicherheitseinheit Oder dem Steuergerat die fahrzeugindividuelle Information und ein 
Schlussel des fahrzeugindividuellen Schlusselpaares vorhanden sind, in der Software neben der fahrzeugindivi- 
duellen Information noch der weitere Schlussel des fahrzeugindividuellen Schlusselpaares abgelegt ist und in 
einer separaten Routine uberpruft wird, ob die beiden Schlussel des fahrzeugindividuellen Schlusselpaares zu- 
sammenstimmen, urn bei einer Bejahung die eingespielte Software zu akzeptieren. 

11. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dafi die Software zumindest beim erstmaligem Hochlaufen des Steuergerates gepruft und dann entsprechend 
gekennzeichnet wird. 

12. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dafi bei einem externen Zugriff auf das Steuergerat eine Zugangseinheit pruft, ob eine Berechtigung fur den Zugriff 
vorliegt. 

13. Verfahren nach Anspruch 12, 
dadurch gekennzeichnet, 

dafi ein Code von einem Steuergerat angefordert wird und der Code auf Richtigkeit hin gepruft wird. 

14. Verfahren nach Anspruch 13, 
dadurch gekennzeichnet, 

dafi ein Steuergerat eine Zufallszahl ausgibt, die von dem Zugreifen zu signieren ist, und dafi die Signatur im 
Steuergerat, insbesondere mittels eines Authetifizierungsschlussels, uberpruft wird. 

15. Verfahren nach einem der Anspruche 12 bis 14, 
dadurch gekennzeichnet, 

dafi bei der Abfrage der Zugriffsberechtigung eine Berechtigungsstufe festgestellt wird und Zugriffsaktionen in 
Abhangigkeit von der Berechtigungsstufe akzeptiert oder nicht akzeptiert werden. 

16. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch gekennzeichnet, 

dafi eine Sicherheitseinrichtung in einem Fahrzeug zumindest sporadisch eine Authentitatsprufung eines Steuer- 
gerates durchfuhrt und das Steuergerat bei negativem Ergebnis registriert. 

17. Verfahren nach Anspruch 16, 
dadurch gekennzeichnet, 

dafi im Steuergerat ein steuergeratindividueller geheimer Code hinterlegt ist. 

18. Verfahren nach Anspruch 16 oder 17, 
dadurch gekennzeichnet, 

dafi die Sicherheitseinrichtung ein steuergeratesprezifisches Merkmal abfragt und dieses auf Authentitat pruft. 

19. Verfahren nach einem der Anspruche 16 bis 18, 
dadurch gekennzeichnet, 

dafi bei der Authentitatsprufung ein in der Sicherheitseinrichtung und/oder ein in dem Steuergerat hinterlegter 
Schlussel verwendet wird. 
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